Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Grupos de seguridad de Active Directory vs Grupos de distribución

Grupos de seguridad de Active Directory vs Grupos de distribución

Apr 27, 2023

El uso de grupos es una mejor práctica para la gestión de Active Directory. Este artículo describe los dos tipos de grupos de Active Directory — grupos de seguridad y grupos de distribución — y ofrece orientación para utilizarlos de manera efectiva.

Principales diferencias entre Security Groups y Distribution Lists

Los grupos de seguridad y los grupos de distribución (más comúnmente llamados listas de distribución) son ambos grupos de Active Directory, pero están diseñados para propósitos muy diferentes:

  • Los grupos de seguridad se utilizan para gestionar el acceso de usuarios y computadoras a recursos compartidos de TI, como datos y aplicaciones. Los permisos se asignan al grupo de seguridad, y todas las cuentas de usuario y computadora que son miembros del grupo obtienen esos permisos automáticamente.
  • Los grupos de distribución (listas de distribución) se utilizan para enviar correos electrónicos a un conjunto de usuarios, sin que el remitente tenga que introducir la dirección de correo electrónico de cada destinatario individualmente.

Tenga en cuenta que, aunque puede usar grupos de seguridad para la distribución de correos electrónicos, no puede usar listas de distribución para asignar permisos.

Ahora, profundicemos en cada tipo de grupo de AD.

Grupos de seguridad

Active Directory security groups are used to manage user and computer access to shared resources, such as folders, applications and printers. This makes provisioning easier and more accurate. For example, when a new person joins the organization, the IT team can quickly grant them access to exactly the resources they need to do their job simply by adding them to the appropriate security groups, such as the groups for their department and their specific projects. Security groups can also be set up to deny a set of users access to a particular resource.

Dos funciones principales de un grupo de seguridad son:

  • Asignar Derechos de Usuario: Asignar derechos de usuario a un grupo de seguridad determina lo que los miembros de ese grupo en particular pueden hacer dentro del ámbito de un dominio. Por ejemplo, un usuario que se añade al grupo de Operadores de Copia de Seguridad puede hacer copias de seguridad y restaurar archivos y directorios ubicados en cada controlador de dominio del dominio. Al ser miembro de este grupo, heredas los derechos de usuario asignados al grupo.
  • Asignar permisos para recursos: Esto es diferente de los derechos de usuario porque los derechos de usuario se aplican en todo un dominio en contraste con los permisos que están dirigidos a una entidad específica. Los permisos determinan quién puede acceder al recurso y el nivel de acceso, como Control total o Solo lectura.

En términos simples, los derechos de usuario se aplican a las cuentas de usuario mientras que los permisos están asociados con objetos.

Los administradores pueden crear grupos de seguridad y gestionar sus permisos y membresía a través de múltiples métodos, incluyendo la consola Active Directory Users and Computers (ADUC), Windows PowerShell y soluciones de software de gestión de grupos de terceros.

¿Qué son los permisos de grupo de seguridad de Active Directory?

Los permisos en Active Directory son un conjunto de reglas y regulaciones que definen cuánta autoridad tiene un objeto para ver o modificar otros objetos y archivos en el directorio. Para asegurar que los usuarios solo tengan acceso a los recursos que necesitan, los administradores de TI asignan permisos a través de Listas de Control de Acceso (ACLs).

¿Qué son las Listas de Control de Acceso (ACLs)?

Las Listas de Control de Acceso definen las entidades que tienen acceso a un objeto y el tipo de acceso. Estas entidades pueden ser cuentas de usuario, cuentas de computadora o grupos. Por ejemplo, si un objeto de archivo tiene una ACL que contiene (Mary: leer; Sarah: leer, escribir), permitiría a Mary leer el archivo y permitiría a Sarah leerlo y escribir en él.

Una lista de control de acceso puede configurarse en un objeto individual o en una unidad organizativa (OU), lo que significa que todos los objetos descendientes de la OU heredan la ACL.

Tipos de Listas de Control de Acceso

Existen dos tipos de ACLs, cada uno de los cuales realiza una función distintiva:

  • Lista de control de acceso discrecional (DACL): Esta lista indica los derechos de acceso asignados a una entidad sobre un objeto. Cuando una entidad o un proceso intenta acceder a un objeto, el sistema determinará el acceso basándose en lo siguiente:
    • Si un objeto no tiene una DACL, el sistema permite acceso completo a todos.
    • Si un objeto tiene una DACL, el sistema permite el acceso que está explícitamente permitido por las entradas de control de acceso (ACEs) en la DACL.
    • Si una DACL tiene ACE que permiten el acceso a un conjunto limitado de usuarios o grupos, el sistema niega implícitamente el acceso a todos los que no están incluidos en los ACE.
    • Si la DACL de un objeto no tiene ACE, el sistema no permite el acceso a nadie.
  • Lista de control de acceso del sistema (SACL): Esta lista genera informes de auditoría que indican qué entidad intentaba acceder a un objeto. También indica si a la entidad se le negó el acceso o se le otorgó acceso a ese objeto junto con el tipo de acceso proporcionado.

Mejore la seguridad de AD con Netwrix Directory Manager

Simplifique la gestión de grupos de seguridad y distribución en AD

Consejo: Evite usar Security Groups para enviar correos electrónicos

En una configuración normal, los grupos de distribución creados en Exchange y Microsoft 365 se asignan direcciones de correo electrónico por defecto, pero los grupos de seguridad no. Por lo tanto, normalmente no se pueden utilizar los grupos de seguridad para la distribución de correos electrónicos. Sin embargo, es posible habilitar el correo en un grupo de seguridad para utilizarlo tanto para otorgar acceso a recursos como para enviar correos electrónicos.

Sin embargo, no es una buena práctica utilizar grupos de seguridad para el correo electrónico porque hacerlo podría comprometer la seguridad. Un grupo de seguridad habilitado para correo aumenta el riesgo de robo de identidad para sí mismo en primer lugar, lo cual podría extenderse a otros grupos de seguridad que son miembros del grupo comprometido. O por ejemplo, si un grupo de seguridad habilitado para correo recibe un enlace malicioso en un mensaje, podría invadir la privacidad de su organización al alterar ciertas configuraciones.

Si tiene la necesidad de enviar un correo electrónico a todos los miembros de un grupo de seguridad, lo mejor es crear un grupo de distribución con los mismos miembros que el grupo de seguridad.

Grupos de distribución

Los grupos de distribución de Active Directory se utilizan para enviar correos electrónicos a un grupo de usuarios en lugar de a destinatarios individuales uno por uno. Por ejemplo, una empresa podría configurar una lista de distribución para todos los empleados, otra lista de distribución para todos los gerentes y una lista de distribución separada para cada departamento. Cuando quieras enviar un correo electrónico a cualquiera de estos grupos, puedes simplemente seleccionar el grupo de distribución, en lugar de tener que agregar a todos los destinatarios individualmente. Esto ahorra tiempo y mejora la precisión.

Como se mencionó anteriormente, no se pueden asignar permisos a las listas de distribución.

Grupos de distribución vs Buzones compartidos

Una lista de distribución es bastante diferente de un buzón compartido. Un buzón compartido se utiliza cuando varias personas necesitan acceso al mismo buzón. Por ejemplo, el equipo de ayuda y el equipo de soporte técnico podrían usar un buzón compartido para que puedan colaborar en tareas. Además, cualquier miembro de los equipos puede enviar y recibir correos electrónicos en nombre de los equipos. Típicamente, un buzón compartido tiene una dirección genérica como “ITsupport@company.com” para que permanezca igual a pesar de que la composición del equipo responsable cambie con el tiempo. Cuando un usuario envía un correo electrónico desde un buzón compartido, se envía desde la dirección del buzón compartido en lugar de la dirección de correo electrónico propia del usuario. Se envía una copia de ese correo electrónico al buzón compartido para que todos los demás miembros puedan verla.

Un escenario que resalta la diferencia entre una lista de distribución y un buzón compartido es la eliminación de correos electrónicos. Si un usuario elimina un correo electrónico de un buzón compartido, ese correo se elimina para todos los que tienen acceso a dicho buzón. Pero cuando un miembro de una lista de distribución elimina un correo electrónico enviado al grupo, ese correo no se elimina del buzón de ningún otro destinatario.

¿Pueden los Distribution Groups ser gestionados por Security Groups y viceversa?

Un grupo de seguridad puede ser designado como propietario de un grupo de distribución. Al hacerlo, se otorgaría a todos los miembros del grupo de seguridad la capacidad de gestionar ese grupo de distribución — por ejemplo, sus destinatarios de informes de no entrega y restricciones de envío/recepción de mensajes. Por ejemplo, un grupo de seguridad creado para un equipo de proyecto podría ser el propietario de su lista de distribución asociada, y el equipo de comunicaciones corporativas podría ser el propietario de varias listas de distribución para la empresa.

Por otro lado, un grupo de distribución no puede ser el propietario de un grupo de seguridad.

¿Es seguro eliminar grupos de distribución y grupos de seguridad?

Eliminar un grupo de distribución no representa una amenaza para la seguridad de su organización, aunque borrar uno accidentalmente puede interrumpir las comunicaciones hasta que el grupo pueda ser restaurado desde una copia de seguridad o se cree uno nuevo y se llene con los mismos miembros.

Eliminar un grupo de seguridad, sin embargo, puede tener implicaciones serias, como:

  • Seguridad — Eliminar un grupo de seguridad que restringe el acceso de los miembros a ciertos recursos otorgaría a esos usuarios acceso a dichos recursos.
  • Productividad — Eliminar un grupo de seguridad que otorga a sus miembros acceso a ciertos recursos dejaría a los usuarios incapaces de acceder a los datos y aplicaciones que necesitan para realizar su trabajo.

Por lo tanto, tenga cuidado al eliminar grupos de seguridad.

Conclusión

Keeping your security groups and distribution lists accurate and up to date is critical to security and business continuity. To simplify the work, consider investing in a solution like Netwrix Directory Manager. Netwrix Directory Manager makes it easy to ensure that:

  • Cada grupo en su directorio tiene un propósito.
  • Cada grupo tiene un propietario.
  • No se otorga a los usuarios membresía innecesaria en grupos.
  • Ningún grupo tiene permisos excesivos.
  • Los grupos no sobreviven más allá del propósito para el que fueron creados.
  • No existen grupos duplicados.

Obtenga la Guía de Active Directory Group Management

Explore cómo gestionar mejor los grupos de directorio AD con este eBook

Aprende más

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Kevin Joyce

Director de Product Management

Director de Product Management en Netwrix. Kevin tiene una pasión por la ciberseguridad, específicamente en comprender las tácticas y técnicas que los atacantes utilizan para explotar los entornos de las organizaciones. Con ocho años de experiencia en product management, enfocándose en Active Directory y la seguridad de Windows, ha llevado esa pasión a ayudar a construir soluciones para que las organizaciones protejan sus identidades, infraestructura y datos.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Atributos de Active Directory: Último inicio de sesión

Confianzas en Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad